5 Mag 2014

Keep calm e fate attenzione: OpenID e OAuth sono vulnerabili

Consigli Notizie

Solo un paio di settimane dopo il preoccupante bug conosciuto come Heartbleed, un utente di Internet come me e voi ha scoperto una nuova e a quanto pare diffusa vulnerabilità, anche questa non facile da  risolvere. Si tratta del bug “Covert redirection”, scoperto di recente da Wang Jing, uno dottorando in matematica presso la Nanyang Technological University di Singapore. Il problema è stato riscontrato all’interno dei popolari protocolli Internet OpenID e OAuth. Il primo protocollo viene utilizzato quando si cerca di accedere a un sito web usando le credeziali già create per i servizi di Google, Facebook o LinkedIn. Il secondo viene utilizzato quando si autorizza un sito web, una app o alcuni servizi con Facebook, Google +, ecc… senza rivelare di fatto la password e le credenziali a siti esterni. Questi due metodi vengono spesso usati insieme e, a quanto pare, potrebbero permettere ai cybercriminali di mettere mano sulle informazioni degli utenti.

OpenID Vulnerabilità

La minaccia

Su Threatpost sono disponibili maggiori informazioni tecniche sul bug e un link alla ricerca originale, in inglese. Ma andiamo la sodo e osserviamo come funziona un possibile attacco e quali sarebbero le sue conseguenze. In primo luogo, affinché si verifichi il problema, un utente dovrebbe visitare un sito di phishing dannoso dotato del tipico “Accedi con Facebook”. Il sito potrebbe assomigliare del tutto a un servizio popolare esterno, fingendosi e proponendosi come un nuovo servizio. Poi il vero Facebook, Google +  o LinkedIn lancia una popup che invita l’utente a inserire le credenziali di login e la password per autorizzare i servizi appena menzionati (e in teoria “rispettabili”) e permettere all’utente di accedere. Nell’ultima fase, l’autorizzazione a usare il profilo viene inviata a un sito diverso (di phishing), “redirezionando” le informazioni in forma impropria.

In primo luogo, un utente dovrebbe visitare un sito di phishing dannoso dotato del tipico “Accedi con Facebook”.

In questo modo, in poco tempo, i cybercriminali ricevono un’autorizzazione vera e propria (OAuth token) per accedere al profilo della vittima indipendentemente dai permessi posseduti dall’app originale. Nel migliore dei casi, si tratta solo di un accesso ad un account base, ma nel peggiore dei casi i criminali potrebbero avere accesso ai messaggi e alla lista dei contatti.

È stata risolta? Non del tutto

Questa minaccia probabilmente ci accompagnerà ancora per un po’ perché per raggiungere una soluzione si dovrà attendere un lavoro congiunto del fornitore (Facebook, LinkedIn, Google) e del client (app esterna o servizio). Il protocollo OAuth è ancora in versione beta e i vari fornitori usano implementazioni diverse che variano in quanto a efficacia quando si tratta di controbattere l’attacco non appena menzionato. LinkedIn si trova in una fase avanzata rispetto all’implementazione della soluzione e ha preso misure più serie rispetto alla gestione del login ed ha richiesto ad ogni sviluppatore esterno di fornire una whitelist di “redirezioni” consentite. Per quanto riguarda la situazione attuale, ogni app che usa le autorizzazioni di LinkedIn o è sicura o non è funzionale. Le cose non funzionano così per Facebook che purtroppo è famosa per avere un sacco di app esterne e forse vecchie implementazioni di OAuth. Ecco perché Facebook ha detto a Jing che “non è possibile realizzare una whitelist nel breve termine”.

Sono molti i provider che sembrano vulnerabili (vedasi l’immagine sottostante). Perciò se volete accedere a qualche sito usando questi servizi, dovete prendere provvedimenti.

Vulnerabilità - servizi colpiti

Prendete provvedimenti

Ai più cauti, suggeriamo di smettere di usare per alcuni mesi OpenID e quei pratici bottoni come “Accedi con Facebook”. Questa forma di login favorisce inoltre un sistema di tracking più efficace e permette a molti siti web di leggere i vostri dati personali. Per non dover memorizzare decine o forse centinaia di credenziali diverse per ogni servizio a cui vi siete iscritti, vi consigliamo di utilizzare un password manager, un programma che vi aiuterà a gestire e memorizzare le vostre password. La maggior parte dei servizi odierni sono dotati di client multipiattaforma, sincronizzati via cloud, per proteggervi e garantire l’accesso alle vostre password su ogni dispositivo in vostro possesso.

Tuttavia, se state pensando di continuare a usare OpenID, non andrete incontro a nessun pericolo immediato. Dovete essere solo molto attenti e evitare ogni truffa o frode di phishing che in genere inizia con qualche mail fastidiosa nel vostra casella di posta elettronica contenente qualche link a Facebook o a un altro social network. Se realizzerete il login a qualche servizio usando Facebook, i servizi di Google o un altro servizio di questi tipo, assicuratevi di aver aperto il sito digitandolo direttamente sulla barra dell’indirizzo. In questo modo eviterete di visitare strani siti e di accedere a nuovi servizi con OpenID, a meno che non siate sicuri al 100% che la pagina che avete aperto è affidabile ed è quella corretta. Infine, vi consigliamo di usare una soluzione che vi aiuti a navigare in totale sicurezza come Kaspersky Internet Security ― Multi-Device che fa in modo che il vostro browser non incorra in qualche sito pericoloso, tra cui le pagine web di phishing.

Dato che il phishing è una realtà diffusa e all’ordine del giorni, fare attenzione e adottare precauzioni devono diventare un esercizio giornaliero che qualsiasi utente di Internet deve sforzarsi di realizzare. Le minacce di phishing sono efficaci e portano alla perdita di informazioni e dati digitali di ogni tipo, tra cui dati di carte di credito e bancomat, credenziali di posta elettronica e molto altro. Il bug “Covert redirect” che interessa OpenID e OAuth è solo una ragione in più per farlo.